Lassan már kevés lesz szimplán adathalászatot említeni, hiszen a klasszikus phishing mellett olyan újabb keletű műszavakat is meg kellett tanulnunk, mint a smishing, a vishing, és a quishing.
Az alapfokú phishing már mindenki által ismert, egy ismert szolgáltató webhelyére megszólalásig hasonlító, de kártékony weboldalon bekérik a felhasználó adatait, amivel aztán a bűnözők a valódi weboldalon már be tudnak lépni a nevében. Ez a vonal körülbelül 1995 óta létezik, és azóta is szedi az áldozatait. Egy 2020-as FBI kimutatás pedig arról számolt be, hogy ez egy annyira gyakori kiberbűnözői módszer, hogy abban az évben már több adathalász incidenst regisztráltak, mint összességében bármely más egyéb típusú számítógépes bűncselekményből.
És hogy ez a céges biztonságban is komoly problémát okoz, azt egy 2023-as adat is jól mutatja, miszerint a vállalati szférában jelentkező fejlett és automatizált adathalász támadási kísérletek száma a tavalyi évben 356%-kal nőtt, ezek egy jelentős részénél pedig már alkalmazták a gépi tanulás és a mesterséges intelligencia eszközeit is.
A felsorolás és tulajdonképpen a megjelenés sorrendjében is következő a smishing, amely a phishing és az SMS vagyis Short Message Service, magyarul rövidüzenet-szolgáltatás szavak összekeveredéséből keletkezett. Itt az érkező SMS érkezhet látszólag a bankunk nevében, de lehet csomagküldő szolgálat, adóhivatal, Amazon, Netflix, PayPal, bármi.
A lényeg, hogy a telefon esetlegesen kevésbé védett, és kisebb képernyőjén nehezebb felismerni a kártékony linket, a rosszindulatú weboldalt, az átverést. Mindenki emlékezhet a 2021. márciusi FedEx nevében érkező SMS áradatra, amely a FluBot vírust terjesztette, de a dolog azóta is folyamatosan zajlik DHL, Netflix, Magyar Posta és hasonló szolgáltatások nevével visszaélve.
A fentiek remélhetőleg már mindenkinek a könyökén jönnek ki, és sosem vetemednének arra, hogy ilyenekre kattintsanak. Éppen ez volt az oka, hogy új irányzatok jelentek meg, így nevezetesen vishingnek (vagyis Voice Phishing) hívjuk a telefonhíváson keresztül végzett adathalászatot. Sajnos ez már sokkal hatékonyabb fegyvere lett a támadóknak, akik gyakran bankok nevében hívogatnak random vagy korábbi adatszivárgásból precízebben célozható ügyfeleket, akiknél azzal a mesével jelentkeznek, hogy ők a bank biztonsági osztálya, és egy csúnya bűnöző éppen most próbál pénzt lopni a kártyájáról.
Erre hivatkozva kérnek személyi azonosítást, bank számla és kártya adatokat, azonban éppen ezzel követ el súlyos hibát, aki ezt bediktálja nekik, vagy feltelepíti a csalók által javasolt távmenedzsment alkalmazást, ugyanis ekkor tényleg leürítik a számláját. A hagyományos csatornák mellett a vishing, azaz élő telefonos hangalapú megtévesztések száma is kiugró mértékben emelkedett, ebben egy 2023-a keltezésű statisztika 363 százalékos emelkedést regisztrált.
Ugyanennek az átverésnek egy másik változata, amelynél a számítógépesen kevésbé jártas júzereket egyszerűen arra kérik, meglévő pénzüket gyorsan utalják át ideiglenesen egy állítólagos biztonsági számlára - kitalálható a történet vége, itt is eltűnnek a pénzzel. És hogy mekkora károkat képesek okozni ezzel itt Magyarországon is, azzal egy friss statisztikában szembesülhetünk.
Három éve még a károk többségét a hitelintézetek viselték, ez 2019-ben még "csak" 8% volt. 2022-ben a keletkezett 1 mrd forintos kár 52%-át már az ügyfelek viselték, míg 2023. első negyedévében már 83%-ban az ügyfél kár volt az ilyen incidens, hiszen ő hibázott, ő adta meg illetéktelennek az adatokat, így itt a banknak már nincs felelőssége. A jelentés szerint a csalók csak az idei év első három hónapjában vásárlással 1.6 mrd forintot, míg az adathalászok összesen 39 ezer incidensben összesen 1.1 milliárd forintot vágtak zsebre.
Innen már csak egy utolsó lépés maradt, ez pedig nem más, mint a talán kevésbé ismert quishing. Ez pedig a QR kódokkal való adathalászati módszert takarja, amelynél a mobil kamerájával beolvasva gyorsan gyakran megnyílik egy weboldal, telepíthető egy app, de ezeken túlmenően akár telefonhívást, SMS üzenetet vagy digitális fizetés is indíthat az ilyen kód.
Ez pedig sok lehetőséget ad a csalóknak, akik az elemzők szerint a Covid időszak óta intenzíven próbálgatják ez a fajta támadást is. Biztonsági elemzők egy csoportja hónapokon keresztül kísérte figyelemmel ezt a fajta QR kódos adathalászatot, és arra a megállapításra jutottak, hogy egyre több ilyen próbálkozást lehet látni.
A csalók változatos módokon próbálják rávenni a felhasználókat a rosszindulatú QR kódok beolvasására. A hozzánk érkező üzenet hivatkozhat valamilyen lehetőséghez kapcsolatos bejelentkezési oldalra, regisztrációra, gyors és kényelmes fizetési lehetőség felkínálására.
Sok helyen már bevett gyakorlat a QR kódok beolvasás - például múzeumokban, utastájékoztatásban, de éttermek is vannak, ahol az étlapot így lehet elérni, viszont összességében nem alakult ki egészséges gyanakvás a kéretlen, kétes esetek kezelésére, ahogy a mobil eszközök vírusvédelmére sem fordít még sajnos mindenki figyelmet.
Mindenesetre legyen az adathalászat írásbeli, audió vagy kétdimenziós vonalkód formátumú, éljen mindenkiben biztonságtudatos óvatosság. Bankok például sosem kérnek az ügyfeleiktől telefonon a belépési azonosító kódokat, jelszavakat, a bankkártyás utaláshoz kapott CVC biztonsági ellenőrző kódot.
Ha valamilyen gyanús üzenet, e-mail, telefonhívás esik be, legyünk gyanakvóak, ne kapkodjunk, na hagyjuk magunkat sürgetni, és ha nem értjük a szituációt, bátran lépjünk ki belőle. A támadások ilyen formái ugyanis sajnos egyre többször fognak kopogtatni mindannyiunknál.
